サイバー保険ガイドColumn

サイバー攻撃、情報漏洩のリスクに備えるための情報発信コラム

2024.5.23 IT事業者向け(システム開発・クラウド)サイバー保険(業種・事業別)

ご注意!受託開発会社が陥る「BtoBtoC」の深刻な訴訟。保険でカバーできる範囲とは?

ご注意!受託開発会社が陥る「BtoBtoC」の深刻な訴訟。保険でカバーできる範囲とは?
法人向け損害保険のご相談で、最近多いご相談がシステム開発時のトラブルです。
特にクラウドサービスやアプリのようにエンドユーザーを抱えるサービス提供会社と、サービス開発会社の「BtoBtoC」の訴訟は、経営に直結する深刻なトラブルに発展してしまう可能性があります。
そこで今一度、開発・運用のIT事業を行う企業様の注意点をご紹介させていただきます。

「BtoBtoC」とは

「BtoBtoC」とは「Business to Business to Consumer」の略で、企業が他の企業(BtoB)に製品やサービスを提供し、その企業がその製品やサービスを活用して自社の製品やサービスを最終的な消費者(C)に提供するというビジネスモデルを指します。
このモデルでは、最初のビジネス(BtoBでの最初の「B」)がサービス提供者として行動し、商品やサービスを別のビジネス(BtoBでの2番目の「B」)に提供し、それが製品をパッケージ化し、マーケティングし、最終的な消費者(BtoBでの「C」)に販売します。

例:マーケットプレイス型EC
メーカーや小売店がモールに出店し商品を消費者に提供する「楽天市場」「Amazon」等

このほかにも問屋・卸売業、流通業・金融業など様々な業種でBtoBtoCモデルが存在しますが、本コラムではITの「BtoBtoC(B2B2C)」についてご説明させていただきます。


IT系「BtoBtoC」のシステム開発は?

IT系のBtoBtoCには、エンドユーザー(toC)と提供会社をつなぐプラットフォームとサービスが存在するケースが多いです。

例:「クラウドサービス」「業務システム」「アプリケーション」「パッケージソフトウェア」等

こういったプラットフォームは、高度な開発技術サービスが必要なため提供会社自身が行うのではなく、システム開発の会社(「システムインテグレーター(System Integrator):SIer」)へ受託開発依頼をすることになります。
SIerによってできあがったシステムやパッケージの成果物を納品され、提供会社によってシステムが稼働されていくという流れになります。
プロジェクトが完了した後も、SIerはアップグレード・障害対応・継続的な改善などの必要に応じて、システムやサービスの保守やサポートを提供するケースも見られます。

なお、開発会社にシステム開発を受託する側の企業を「ベンダー(vendor)」と呼び、依頼する側の企業はシステムのユーザーであるため「ユーザー(user)」と呼ばれます。

システム開発にトラブルの原因

プラットフォームサービスは高度な開発技術が必要と前述しましたが、システム開発は「依頼側のユーザー企業が必要な内容を正確にベンダーに伝えられない」ケースや、曖昧な契約を締結していることから紛争へ発展する場合が多いようです。
その主なトラブルの原因は以下となります。

契約時の内容が不明確

・業務範囲・完成基準が曖昧
・要件定義が不十分
・セキュリティ仕様が曖昧
・サーバ・サイジングの誤り
・著作権の帰属が曖昧

プロジェクト体制が不十分

・役割分担が不明確
・ユーザーがシステム開発に協力しない

仕様変更の取り決めが曖昧

・当初予定より規模が膨らみ、工数増加分の費用負担が問題に

検収がおざなり

・システムの完成の可否を取り決めていない

なぜ「BtoBtoC」のトラブルは深刻なのか

もし納品後にシステムに不具合があった場合、クライアントより「事業中断に伴う逸失利益(事業に支障が生じたことに伴う減収金額)」が請求される可能性があります。
そして、もっと恐ろしいことにクライアントの先のサービス利用者へ被害が発生してしまった場合、そのお詫びとして商品券などが配布するケースがあります。
そのお詫びの見舞い金の負担が、ベンダーへ請求されてしまうのです。
被害が深刻な場合は、エンドユーザーからサービス提供者(ユーザー)へ、サービス提供者からベンダーへと玉突き的に訴訟が発生し、莫大な損害賠償金が請求されることになります。

なぜ「BtoBtoC」は深刻なのか

システム開発トラブルの予防と対策

契約内容を明確にしておく

・契約の際には業務範囲と完成基準を明確にしておく
・契約書に仕様と変更管理手続を明確に規定しておく
・未確定の仕様があれば、未確定事項として書面に明記して管理しておく
・作業にあった契約形態にする
・業務委託する場合は、請負か準委任か、契約書で明確に定めておく
・不確定要素があるならば、契約に変更管理手続きを規定しておく
・支払い条件は別途協議ではなく、契約書で取り決めておく
・知的財産権の帰属を契約に明記しておく
・契約における「重大な過失」を明確化しておく(例:データ消失、外部漏洩など)
・開発作業に着手する前に契約書を締結し、正式な契約書の締結を待ってから開発作業に着手すること

仕様変更について

・契約内容について変更が生じた場合、契約書により変更内容を定める

要件定義

・不明確な用語を避ける
・要件定義段階において仕様を明確にしておく
・サーバーサイジングに関する責任の所在を明確にしておく
・当初からデータ移行の検討を進めておく

プロジェクトへ臨む姿勢

・ユーザーとベンダーはプロジェクトが円滑に進むようの両者が協力し合う
・ユーザーとベンダー間の連携を取るため連絡協議会を設置する

検収を両社で行う

・検収及び代金の支払に関する曖昧な対応は避ける
・システム不具合が判明したら、ベンダーはすぐにユーザーに説明する

上記を実施していただくことである程度のトラブルは防ぐことができるのではないかと考えられますが、もうひとつ有益な対策として、ベンダーには損害保険の加入をご検討ください。

ベンダーは損害保険に加入する

IT事業の業務範囲は、ユーザーであるクライアントに対し以下のようなリスクが想定されます。
  • 情報漏えい
  • 営業損害
  • データの破壊、改ざん、消去
  • サーバー、ネットワークの停止

  • これらをIT事業者向けの損害保険で補償できることはご存知でしょうか。

    IT事業者向けの損害保険の補償範囲

    例えばこんな事故が考えられませんか?

    ・クライアントの顧客システムから顧客情報を漏えいしてしまった。
    ・エンドユーザーのシステムやサーバを停止してしまった。
    ・納品した業務システムに不具合がありデータを破損、消去してしまった。
    ・自社がサイバー攻撃を受けてしまい、開発に遅れが出てしまった。
    ・納品した予約システムに脆弱性がありサイバー攻撃を受けてしまった。
    ・従業員が顧客データを持ち出して不正利用してしまった。

    このようなヒューマンエラー、システムのミスや不具合、サイバー攻撃等による損害のケースでも、IT事業者向けの損害保険に加入していれば下記のような顧客や第三者に損害が発生した場合の損害に対して保険金が支払われます。

    ■事故対応にかかる費用
    ・事故原因調査・復旧費用
    ・ 事故の再発防止策定費用
    ・ システムの復旧作業費用
    ・ ユーザーへのお詫び費用
    ・ コールセンターの設置費用
    ・ 弁護士・コンサルティング会社への相談費用
    ・ コンピュータシステムの停止による利益損害費用
    ・ 風評被害に対応する広告宣伝費

    ■損害賠償責任に伴う費用
    ・損害賠償費用
    ・ 訴訟対応費用

    ※補償範囲は保険会社やプランによって異なるため、詳しい内容は弊社までお問い合わせください。
    ※開発の遅れに関しては、遅れた原因が「サイバー攻撃を受けた結果の遅れ」等であれば対象になるケースがありますが、単なる納期遅れは通常のサイバー保険では補償の対象外となりますのでご注意ください。
    ※保険会社やプランや補償範囲により、IT事業者向けサイバー保険、IT事業者向け業務過誤賠償責任保険、E&O保険など保険の種類が変わります。

    意外と重たい調査費用も負担

    なお、2022年4月に改正個人情報保護法が施工され一定数以上の個人情報の漏えいが発生した場合は、個人情報保護委員会への報告や、漏えいの対象となった被害者本人への通知が義務化されました。
    報告にあたっては被害範囲の特定や原因の調査が必要となり、調査費用としてサーバー1台あたり20〜100万円程度が必要なため、調査だけで数千万と莫大な費用となるケースもあります。

    IT事業者では上記のような補償を備えることにより、事故やトラブル紛争が発生した場合の事後対策が可能となります。
    予想される被害額が大きい場合はIT事業者向けのサイバー保険、IT事業者向け業務過誤賠償責任保険、IT事業者向けのE&O保険をご検討ください。

    当サイトの運営会社ファーストプレイスでは、IT事業者向けのサイバー保険、IT事業者向け業務過誤賠償責任保険、IT事業者向けのE&O保険を取り扱っています。
    上記保険を扱うメガ損保大手5社の保険料を無料で一括見積もり・比較いたします。

    【取り扱いのある保険会社】
    東京海上日動火災保険株式会社
    三井住友海上火災保険株式会社
    損害保険ジャパン株式会社
    あいおいニッセイ同和損害保険株式会社
    AIG損害保険株式会社

    ご興味のある方はこの機会にぜひ、IT事業者向けサイバー保険 一括見積りサイトよりご相談ください。

    引用:
    経済産業省「情報システム・ソフトウェア取引トラブル事例集」
    IPA「情報システム・モデル取引・契約書(第二版)」

    関連タグ

    関連記事
    ACCSS RANKING アクセスランキング
    CATEGORY カテゴリ

    運営会社について

    ファーストプレイスは、
    サイバー保険を扱うプロフェッショナルです

    当社は2001年の創業以来、法人向けに企業の経営をサポートする保険のご提案を数多く行っております。
    貴社の状況に合わせ、サイバー保険のご提案が可能です。まずはお問い合わせください。

    運営会社について

    pagetopへ